Groups | Search | Server Info | Login | Register

Groups > de.admin.net-abuse.mail > #8860

Re: SMTP smuggling mit sendmail

From Marco Moock <mm+solani@dorfdsl.de>
Newsgroups de.admin.net-abuse.mail
Subject Re: SMTP smuggling mit sendmail
Date 2024-10-12 12:36 +0200
Message-ID <vedjg8$6p2f$10@solani.org> (permalink)
References <1t670a43f9i2b14can3e8%sfroehli@Froehlich.Priv.at>

Show all headers | View raw

Am 12.10.2024 10:03 Uhr schrieb Stefan Froehlich:

> Ich habe einen Debian-Server, auf den sendmail in der Version
> 8.15.2-22+deb11u3 läuft. Nun beschwert sich ein Empfänger, das
> einige Mails auf seiner Seite wegen "Illegally formed message body
> (bare CR or LF characters)" abgewiesen werden. Ich vermute, das
> referenziert auf CVE-2023-51765, aber sollte nicht genau das von
> genau der eingesetzten Sendmail-Version verhindert werden?

Die von dir genutzte Version wurde gepatched von Debian, ist also nicht
das originale sendmail von Proofpoint.
Ich habe es nicht getestet, gehe aber davon aus, dass nun auch die
neuen Features für das Erlauben/Umschreiben von bare CR/LF
implementiert wurde.


8.18.1/8.18.1	2024/01/31
	sendmail is now stricter in following the RFCs and rejects
		some invalid input with respect to line endings
		and pipelining:
		- Prevent transaction stuffing by ensuring SMTP clients
		wait for the HELO/EHLO and DATA response before sending
		further SMTP commands.  This can be disabled using
		the new srv_features option 'F'.  Issue reported by
		Yepeng Pan and Christian Rossow from CISPA Helmholtz
		Center for Information Security.
		- Accept only CRLF . CRLF as end of an SMTP message
		as required by the RFCs, which can disabled by the
		new srv_features option 'O'.
		- Do not accept a CR or LF except in the combination
		CRLF (as required by the RFCs).  These checks can
		be disabled by the new srv_features options
		'U' and 'G', respectively.  In this case it is
		suggested to use 'u2' and 'g2' instead so the server
		replaces offending bare CR or bare LF with a space.
		It is recommended to only turn these protections off
		for trusted networks due to the potential for abuse.


> Zuatzaufgabe: Die Mails werden aus einem Template erstellt, in dem
> alle Zeilenumbrüche (konsequent) durch 0x0a markiert sind; es werden
> jedoch keine 10% der Mails abgewiesen (die allerdings
> reproduzierbar). Umgekehrt finde ich - bisher - in den
> inkriminierten Mails Benutzereingaben mit 0x0d0x0a. Ersetze ich im
> fertigen Mailbody die 0x0a durch 0x0d0x0a ersetze, werden die Mails
> immer noch abgewiesen, ebenso allerdings, wenn ich in den
> Benutzereingaben die 0x0d0x0a durch 0x0a ersetze.

Es gibt dann wirklich kein reines CR oder LF mehr?


-- 
Gruß
Marco

Spam und Werbung bitte an
1728720196ichwillgesperrtwerden@nirvana.admins.ws

Back to de.admin.net-abuse.mail | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 10:03 +0000
  Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 12:36 +0200
    Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 12:40 +0000
      Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 16:09 +0200
        Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 14:21 +0000
          Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 16:28 +0200
            Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 15:20 +0000
              Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 17:24 +0200
                Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 18:30 +0000
          Re: SMTP smuggling mit sendmail Claus Aßmann <INVALID_NO_CC_REMOVE_IF_YOU_DO_NOT_POST_ml+sendmail(-no-copies-please)@esmtp.org> - 2024-10-13 11:51 -0400
      Re: SMTP smuggling mit sendmail Stefan Reuther <stefan.news@arcor.de> - 2024-10-13 10:50 +0200
        Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-13 11:35 +0200
          Re: SMTP smuggling mit sendmail Enrik Berkhan <Enrik.Berkhan@inka.de> - 2024-10-13 15:18 +0000
            Re: SMTP smuggling mit sendmail Stefan Reuther <stefan.news@arcor.de> - 2024-10-14 17:08 +0200
      Re: SMTP smuggling mit sendmail Claus Aßmann <INVALID_NO_CC_REMOVE_IF_YOU_DO_NOT_POST_ml+sendmail(-no-copies-please)@esmtp.org> - 2024-10-14 12:04 -0400
  Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 12:38 +0200

csiph-web